Em uma medida inédita e com potencial impacto sobre a confiança no sistema financeiro nacional, o Banco Central suspendeu cautelarmente, por até 60 dias, a participação de três instituições financeiras no sistema Pix.
A decisão atinge a Transfeera, a Soffy e a Nuoro Pay, todas suspeitas de envolvimento indireto no megavazamento de R$ 500 milhões em um sofisticado ataque cibernético contra a empresa C&M Software, provedora de tecnologia para bancos e fintechs.
A ação dos hackers, que operaram de forma cirúrgica e em plena madrugada, desviou recursos das chamadas contas reservas — mantidas por instituições junto ao Banco Central para garantir exigências legais — utilizando transferências via Pix e posterior conversão para criptomoedas.
A suspensão das operações de Pix dessas empresas foi fundamentada no Artigo 95-A da Resolução nº 30 do BC, que prevê essa medida como instrumento de proteção à integridade e regular funcionamento do sistema de pagamentos instantâneos.
A norma autoriza a autoridade monetária a suspender, a qualquer tempo, instituições cujas condutas possam colocar em risco a segurança do arranjo do Pix, mesmo antes da conclusão de investigações. A medida não configura punição, mas sim um freio emergencial com viés preventivo, enquanto são apuradas as conexões dessas entidades com a fraude milionária.
A Transfeera, sociedade de capital fechado e oficialmente autorizada pelo BC, foi a única entre as citadas que emitiu nota oficial, na qual confirmou a suspensão da funcionalidade de Pix, mas assegurou que demais operações da empresa seguem em funcionamento.
A fintech enfatizou que não foi afetada diretamente pelo incidente e que colabora com as autoridades para a rápida liberação do serviço. Já a Soffy e a Nuoro Pay, que operam no Pix por meio de parcerias com outras instituições, não têm autorização direta do BC para participar do sistema e não se manifestaram publicamente até o momento.
O ataque que desencadeou a crise ocorreu na noite de 1º de julho e atingiu a infraestrutura digital da C&M Software. Apesar de não ser responsável por transações financeiras, a empresa tem papel estratégico ao conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), operado pelo Banco Central.
Foi justamente essa posição de intermediação tecnológica que se tornou vulnerável. Com acesso indevido aos sistemas da C&M, os criminosos realizaram movimentações via Pix e rapidamente converteram os valores desviados em ativos digitais, tornando mais complexa a rastreabilidade dos recursos.
No entanto, um avanço crucial nas investigações veio com a prisão de um funcionário da própria C&M, acusado de fornecer as credenciais de acesso aos invasores em troca de R$ 15 mil. A Polícia Civil de São Paulo revelou que o colaborador repassou uma senha por R$ 5 mil e, posteriormente, recebeu mais R$ 10 mil para desenvolver um sistema auxiliar que facilitou a invasão dos servidores.
O envolvimento interno evidencia o nível de sofisticação da operação criminosa e expõe a fragilidade das defesas digitais mesmo em empresas que atuam no setor financeiro.
Com o episódio, acendeu-se um alerta vermelho na infraestrutura do sistema financeiro brasileiro. O Banco Central reforçou, em nota, que a decisão de suspender as instituições visa proteger os usuários e garantir a credibilidade do arranjo de pagamentos instantâneos enquanto as apurações seguem seu curso.
Embora os dados dos usuários finais não tenham sido vazados, conforme informou a C&M, a dimensão do impacto financeiro e a rapidez com que o dinheiro foi movimentado acentuam a necessidade de revisão nas camadas de segurança e supervisão digital.
A reativação das instituições no Pix dependerá diretamente do resultado das investigações conduzidas pela Polícia Federal, Polícia Civil e pela própria autoridade monetária. Enquanto isso, o setor acompanha com atenção as consequências regulatórias e reputacionais do caso.
O episódio serve como sinal de que, mesmo em sistemas aparentemente maduros e bem regulados, os riscos cibernéticos seguem evoluindo em velocidade superior à das barreiras tecnológicas. O Pix, até então símbolo de inovação e inclusão financeira, agora se vê no centro de um teste de fogo para sua robustez institucional.